數字簽名與身份認證.ppt

《數字簽名與身份認證.ppt》由會員分享，可在線閱讀，更多相關《數字簽名與身份認證.ppt（42頁珍藏版）》請在裝配圖網上搜索。

1、第四章 數字簽名與身份認證 數字簽名技術 身份認證技術 4.1 數字簽名技術 4.1.1 數字簽名基本原理 數字簽名的概念和特點 數據摘要 散列函數對消息處理產生的散列值，也稱其為消息的散列值， 摘要信息在數字簽名中應用過程可以概述為：首先使用某種散列算 法，對要發(fā)送的數據進行處理，生成數據摘要信息；然后采用公鑰 密碼算法，用私鑰加密數據摘要信息 一個簽名體制一般包括兩個部分 一是發(fā)送方的簽名部分，對消息 M簽名，可以記作 S Sig(K， M)，簽字算法使用的密鑰是秘密的，即是簽字者的私鑰。 二是

2、接收方的認證部分，對簽名 S的驗證可以記作 Ver(M， S， K) 真，假 ，認證算法使用的密鑰是發(fā)送方 (即簽名者 )的公鑰。 4.1 數字簽名技術 1.數字簽名的特點 (1)信息是由簽名者發(fā)送的； (2)信息自簽發(fā)后到收到為止未曾做過任何修改； (3)如果 A否認對信息的簽名，可以通過仲裁解決 A和 B之間的爭議 (4)數字簽名又不同于手寫簽名： 數字簽名隨文本的變化而變化，手寫簽字反映某個人個性特征， 是不變的；數字簽名與文本信息是不可分割的，而用手寫簽字是附 加在文本之后的，與文本信息是分離的。 2.數字簽名的形式化定義 “數字簽名”

3、系指在數據電文中，以電子形式所含、所附或在邏 輯上與數據電文有聯(lián)系的數據，和與數據電文有關的任何方法，它 可用于數據電文有關的簽字持有人和表明此人認可數據電文所含信 息。 4.1 數字簽名技術 一個簽名方案由簽署算法與驗證算法兩部分構成。可用五元關系組 (P， A， K， S， y) 表示，其中， P是由一切可能消息 (messages)所構成的有限集合； A是一切可能的簽名的有限集合； K為有限密鑰空間，是一些可能 密鑰的有限集合；任意 k K，有簽署算法 Sigk S， Sigk： PA ， 對任意 x P，有 s=Sigk(x)，那么 s

4、S為消息 x的簽名，將 (x， s)發(fā) 送到簽名驗證者。對于密鑰集合 K，有對應的驗證算法 Verk y， 滿足 : Verk： P A 真，假 簽名者收到 (x， s)后，計算 Verk(x， y)，若 y=Sigk(x)，則 Verk(x， y)= 真；若 ySigk(x)，則 Verk(x， y)=假。其中： 任意是 k K，函數 Sigk和 Verk都為多項式時間函數。 Verk為公開的函數，而 Sigk為秘密函數。 如果壞人要偽造 B對 x的簽名，在計算上是不可能的。也即，給定 x，僅有 B能計算出簽名 y，使得 Verk(x

5、， y)=真。 一個簽名方案不能是五條件安 全的，有足夠的時間，第三方總能偽造 B的簽名。 4.1 數字簽名技術 3.數字簽名的功能 (1)身份認證。收方通過發(fā)方的電子簽名能夠確認發(fā)方的確切身份， 但無法偽造。 (2)保密。雙方的通信內容高度保密，第三方無從知曉。 (3)完整性。通信的內容無法被篡改。 (4)不可抵賴。發(fā)方一旦將電子簽字的信息發(fā)出，就不能再否認。 數字簽名與數據加密完全獨立。數據可以只簽名或只加密，也 可既簽名又加密，當然，也可以既不簽名也不加密。 4.電子簽名的法律地位 4.1 數字簽名技術 數字簽名與手寫簽名的區(qū)別

6、 1.數字簽名與手書簽名的區(qū)別在于，手書簽名是模擬的，且因人而 異 2.數字簽名是 0和 1的數字串，因消息而異 3.數字簽名與消息認證的區(qū)別在于，消息認證使收方能驗證消息發(fā) 送者及所發(fā)消息內容是否被篡改過 4.當收者和發(fā)者之間有利害沖突時，單純用消息認證技術就無法解 決他們之間的糾紛，此時須借助滿足前述要求的數字簽名技術。 5.任何一種產生簽名的算法或函數都應當提供這兩種信息，而且從 公開的信息很難推測出用于產生簽名的機密信息 6.任何一種數字簽名的實現(xiàn)都有賴于精心設計的通信協(xié)議 4.1 數字簽名技術 數字簽名方案的分類 1.基于數學難題的分類

7、 (1)基于離散對數問題的簽名方案 (2)基于素因子分解問題的簽名方案 (3)上述兩種的結合簽名方案 2.基于簽名用戶的分類 (1)單個用戶簽名的數字簽名方案 (2)多個用戶的數字簽名方案。 3.基于數字簽名所具有特性的分類 (1)不具有自動恢復特性的數字簽名方案 (2)具有消息自動恢復特性的數字簽名方案 4.基于數字簽名所涉及的通信角色分類 (1)直接數字簽名 (僅涉及通信的源和目的兩方 ) (2)需仲裁的數字簽名 (除通信雙方外，還有仲裁方 ) 4.1 數字簽名技術 數字簽名使用模式與使用原理

8、 1.數字簽名使用模式 (1)智慧卡式 (2)密碼式 (3)生物測定式 2.數字簽名使用原理 數字簽名使用的是發(fā)送方的密鑰對，發(fā)送方用自己的私有密鑰 進行加密，接收方用發(fā)送方的公開密鑰進行解密 這是一個 一對多 的關系：任何擁有發(fā)送方公開密鑰的人都可以 驗證數字簽名的正確性。而私有密鑰的加密解密則使用的是接收方 的密鑰對，這是 多對一 的關系：任何知道接收方公開密鑰的人都可 以向接收方發(fā)送加密信息，只有唯一擁有接收方私有密鑰的人才能 對信息解密。 通常一個用戶擁有兩個密鑰對，另一個密鑰對用來對數字簽名 進行加密

9、解密，一個密鑰對用來對私有密鑰進行加密解密。這種方 式提供了更高的安全性。 4.1 數字簽名技術 利用散列函數進行數字簽名和驗證的文件傳輸過程 : (1)發(fā)送方首先用哈希函數從原文得到數字摘要，然后采用公開密 鑰體系用發(fā)送方的私有密鑰對數字摘要進行簽名，并把簽名后的數 字摘要附加在要發(fā)送的原文后面。 (2)發(fā)送一方選擇一個秘密密鑰對文件進行加密，并把加密后的文 件通過網絡傳輸到接收方。 (3)發(fā)送方用接收方的公開密鑰對秘密密鑰進行加密，并通過網絡 把加密后的秘密密鑰傳輸到接收方。 (4)接受方使用自己的私有密鑰對密鑰信息進行解密，得到秘密密 鑰的明文。 (5)接收

10、方用秘密密鑰對文件進行解密，得到經過加密的數字摘要。 (6)接收方用發(fā)送方的公開密鑰對數字簽名進行解密，得到數字摘 要的明文。 (7)接收方用得到的明文和哈希函數重新計算數字摘要，并與解密 后的數字摘要進行對比。如果兩個數字簽名是相同的，說明文件在 傳輸過程中沒有被破壞。 4.1 數字簽名技術 上述流程 : 圖 41 數字簽名過程 4.1 數字簽名技術 4.1.2 常規(guī)數字簽名體制 RSA數字簽名體制 1.數字簽名框圖 圖 4 2 RSA數字簽名框圖 4.1 數字簽名技術 2.簽名過程 (1)計算消息的散列值 H(M)。 (2)用私鑰

11、(d， n)加密散列值： s (H(M))d mod n。答名結果就是 s。 (3)發(fā)送消息和簽名 (M， s)。當然，消息 M很短的時候，可以直接對 M用私鑰加密，可以表達為： s Sig(M) Md mod n，簽名時使用 私鑰 (d， n)。 3.認證過程 接收方收到 (M， s)之后 (1)取得發(fā)送方的公鑰 (e， n) (2)解密簽名 s： h=se mod n。 (3)計算消息的散列值 H(M)。 (4)比較，如果 h H(M)，表示簽名有效；否則，簽名無效。 如果消息 M很短的時候，可以直接對 M用公鑰解密以驗證簽名的有效 性，可以表達為： Ver(M

12、， s)真 M se mod n 4.1 數字簽名技術 DSS數字簽名體制 1. DSS介紹 圖 4 3 DSS數字簽名體制 4.1 數字簽名技術 2.數字簽名算法（ DSA） （ 1） DSA算法參數說明 DSA算法中應用了下述參數： P： L bit長的素數。 L是 64的倍數，范圍是 512 1024； Q： p-1的 160bit的素因子； G： g=h(p-1)/q mod p ,h滿足 1

13、函數。在 DSS中選用安全散列算法 (Secure Hash Algorithm, SHA)3。 P, q, g：可由一組用戶共享，但在實際應用中，使用公開模數可能 會帶來一定的威脅。 4.1 數字簽名技術 （ 2）簽名及驗證協(xié)議 p產生隨機數 k， k q。 p計算 r (gk mod p) mod q 和 s (k-1(H(m)+xr)) mod q。簽名結果 是 (m, r, s)。 驗證時，計算 w=s-1 mod q u1=(H(m)w) mod q u2=(rw) mod q v=((gu1yu2) mod p) mod q 若 v=r，則認

14、為簽名有效。 4.1 數字簽名技術 DSA的一個重要特點是兩個素數公開，這樣，當使用別人的 p和 q 時，即使不知道私鑰，也能確認它們是否是隨機產生的。而 RSA 算法確做不到。 圖 4 4描述了 DSS的簽名和驗證函數。 圖 4 4 DSS簽名和驗證 4.1 數字簽名技術 橢圓曲線數字簽名算法（ ECDSA） 1. ECDSA的簽名算法 簽名的時候，自然有待簽署的消息 m；全局參數 D (q, FR, a, b, G, n, h),還有簽名者的公鑰私鑰對 (Q， d)。 (1)選擇一個隨機數 k， k 1， n1; (2)計算 kG (x1， y1)； (3)計算

15、 r=xl mod n;如果 r=0，則回到步驟（ 1）； (4)計算 k-1 mod n； (5)計算 e=SHA1(m)； (6)計算 s k-1(e+dr) mod n，如果 s=0，則回到步驟（ 1）； (7)對消息的簽名為 (r， s)； 最后簽名者就可以把消息 m和簽名 (r， s)發(fā)送給接收者。 4.1 數字簽名技術 2.ECDSA的認證算法 簽名的時候，自然有待簽署的消息 m；全局參數 D (q, FR, a, b, G, n, h),還有簽名者的公鑰私鑰對 (Q， d)。當接收者收到消息 m 和簽名 (r， s)之后，驗證對消息簽名的有效性，需要取得

16、這些參 數：全局參數 D (q， FR， a， b， G， n， h)，發(fā)送者的公鑰 Q。 (1)檢查 r、 s，要求 r、 s 1,n-1； (2)計算 e=SHA1(m)； (3)計算 w s-1 mod n； (4)計算 u1 ew mod n; u2=rw mod n; (5)計算 X ulG十 u2Q； (6)如果 X O，表示簽名無效；否則， X (x1， y1)，計算 v x1 mod n； (7)如果 v r，表示簽名有效；否則表示簽名無效： 4.1 數字簽名技術 4.1.3 特殊數字簽名體制 不可否認數字簽名 失敗終止數字簽名 對每個可能的公開密

17、鑰，對應著很多的私有密鑰，它們都可以正常工作。 而簽名者僅僅持有并知道眾多私有密鑰中的一個；所以強大的攻擊者恢復 出來的私有密鑰，剛好是簽名者持有的私有密鑰的情況出現(xiàn)概率是非常小 的。而不同的私有密鑰產生的簽名是不相同的，以此可以鑒別出偽造者的 簽名。 盲簽名 圖 4 5 盲簽名原理 4.1 數字簽名技術 完全盲簽名 簽名者在文件上的簽名是有效的，簽名是其簽署文件的證據。如果 把文件給簽名者看，他可確信他簽署過這份文件。但是，簽名者不 能把簽署文件的行為與簽署了的文件相關聯(lián)。即使他記下了他所做 的每一個盲簽名，他也不能確定他在什么時候簽署了該文件。 批量簽名 批量簽

18、名 (Batch Signature)，是指能夠用一次簽名動作，完成對若 干個不同的消息的簽名；并且以后可以對每一條消息獨立的進行認 證。 群簽名 1.群簽名特點 (1)只有團體內的成員才能夠代表團體簽名； (2)接收到簽名的人可以驗證該簽名是屬于某 團體的； (3)但是，接收者不知道簽名的是該團體中的哪一個成員； (4)在出現(xiàn)爭議時，可以由團體的成員或第三方識別出簽字者。 4.1 數字簽名技術 2.一個簡單的群簽名協(xié)議 該協(xié)議使用了一個可信賴的第三方，假設該團體有 n個成員，下面 簡單的描述該協(xié)議的步驟： (1)第三方產生 n m對密鑰 (公鑰私鑰對

19、 )；然后給每一個成員 m對互異 的密鑰； (2)第三方把 n m個公鑰用隨機的順序加以公開，作為群體的公鑰表； 并且第三方記住每 個成員對應哪 m對密鑰： (3)當群體中某 個成員簽名時，從自己的 m個私鑰中隨機選擇一個， 進行簽名。 (4)而驗證簽名時，用該團體的公鑰表進行簽名認證即可。 (5)當發(fā)生爭議時，第三方知道密鑰對與成員之間的對應關系，所以 可以確定出簽名者是團體中哪一個成員。 當然，上述協(xié)議的較大缺陷在于需要 個第三方。 4.1 數字簽名技術 代理簽名 代理簽名 (Proxy Signature)，就是指定某人來代替自己簽署，也稱 為委托簽名。代理簽名一般

20、應該具有如下特點： (1)可區(qū)分性 (Distinguish ability)，代理簽名與某人的通常簽名是可以 區(qū)分的。 (2)不可偽造性 (Unforge ability)，只有原來的簽名者和所托付的代理 人可以建立合法的代理簽名。 (3)代理簽名的差異 (Deviation)，代理簽名者不可能制造一個合法代理 簽名，而不被檢查出來其是一個代理簽名。 (4)可證實性 (Verifiability)，從代理簽字中 ,驗證者能夠相信原始的簽名 者認同了這份簽名的消息。 (5)可識別性 (Identifiability),原始簽名者可以從代理簽字結果中識別出 代理簽名者的身份。 (6)

21、不可抵賴性 (Undeniability)，代理簽名者不能事后抵賴他所建立的 已被認可的代理簽名。 4.1 數字簽名技術 代理簽名從授權的程度上來劃分，可以分為三類： 1.完全授權 (full delegation) 全部的秘密參數都交給代理者，此時可區(qū)分性不復存在 2.部分授權 (partial delegation) 用秘密參數 s，計算出另外一個的參數 ，把 交給代理者；當 然要求從 不可能推導出 s；代理者秘密保存 。其中又可以區(qū)分為 兩種方式，一種稱為不保護代理者 (proxyunprotected)的方式； 另 種稱為保護代理者 (proxyprotecte

22、d)的方式。 3.許可證授權 (delegation by warrant) Delegate proxy方式 就是原始簽名者用自己的私鑰按普通簽名方式簽署一個文件 給代理者、聲明該人作為自己簽名的代理者； Bearer proxy方式 許可證包括消息和原始簽名者用自己的私鑰按普通簽名方式完 成的簽名，消息中包含一個全新的公鑰，而對應的私鑰交給代理者 保存并用其進行代理簽名。 4.1 數字簽名技術 多重簽名 假設 A和 B都需要對文件進行簽名，最為簡單的有兩 種方式。一是 A、 B各對文件的副本進行簽名，當然保 存時需要保存兩份。二是先

23、由 A對文件簽名，然后 B再 對 A的簽名結果進行簽名，此時的缺點是必須先驗證 B 的簽名前提下，才可能驗證 A的簽名。當然，簽署人更 多時，上面兩法的缺點就非常嚴重了。 4.1 數字簽名技術 4.1.4 數字簽名法律 數字簽名法律的內涵 電子簽名立法原則 1“技術中立”原則 2功能等同方法 3當事人自治原則 (合同自由原則 ) 4合理性原則 全球電子簽名立法特點 1.迅速。 2.兼容。 3.法律的制定及時有力地推動了電子商務、信息化和相關產業(yè)的發(fā)展。 我國電子簽名立法現(xiàn)狀 4.2 身份認證技術 4.2.1 身份認證的概念 身份認證又叫身份識別

24、 ， 它是通信和數據系統(tǒng)正確識 別通信用戶或終端的個人身份的重要途徑 。 4.2 身份認證技術 身份認證的幾個相關概念 1 認證 (Authentication) 在做任何動作之前必須要有方法來識別動作執(zhí)行者的真實身份。認 證又稱為鑒別、確認。身份認證主要是通過標識和鑒別用戶的身份， 防止攻擊者假冒合法用戶獲取訪問權限。 2 授權 (Authorization) 授權是指當用戶身份被確認合法后，賦予該用戶進行文件和數據等 操作的權限。這種權限包括讀、寫、執(zhí)行及從屬權等。 3 審計 (Auditing) 每一個人都應該為自己所做的操作負責，所以在做完事情之后都要 審

25、計 身份認證分為單向認證和雙向認證。如果通信的雙方只需要 一方被另一方鑒別身份，這樣的認證過程就是一種單向認證。在 雙向認證過程中，通信雙方需要互相認證對方的身份。 4.2 身份認證技術 身份認證系統(tǒng)的組成 1認證服務器 (Authentication Server) 2認證系統(tǒng)用戶端軟體 (Authentication Client Software) 3認證設備 (Authenticator) 身份認證系統(tǒng)被攻擊的方式 1數據流竊聽 (Sniffer) 2 拷貝重傳 3修改或偽造 身份認證與其他技術的結合 適

26、合于各種不同場合的認證交換機制有多種選擇與組合。例如：當對等實體以 及通信手段都可信任時，一個對等實體的身份可以通過口令來證實。該口令能防 止出錯，但不能防止惡意行為。相互鑒別可在每個方向上使用不同的口令來完成。 當每個實體信任它的對等實體但不信任通信手段時，抗主動攻擊的保護能夠由 口令與加密聯(lián)合提供，或由密碼手段提供。防止重演攻擊的需要雙方握手 (用保護 參數 )，或時間標記 (用可信任時鐘 )。帶有重演保護的相互鑒別，使用三方握手就 能達到。 當實體不信任 (或感到它們將來可能不信任 )它們的對等實體或通信手段時可以 使用抗抵賴服務。使用數字簽名機制和公證機制就

27、能實現(xiàn)抗抵賴服務。這些機制 可與上面所述的機制一起使用。 4.2 身份認證技術 4.2.2 身份認證的主要方法 口令識別法 (1)根據用戶知道什么來判斷。如果用戶能說出正確的口令，則說 明他是真的，如經典的 UNIX口令系統(tǒng)； (2)根據用戶擁有什么來判斷。如果用戶能提供正確的物理鑰匙， 則說明他是真的，如普通的門鑰匙和磁卡鑰匙； (3)根據用戶是什么來判斷。如果用戶生理特征與記錄相符，則說 明他是真的，如指紋、聲音。視網膜等。 1.不安全口令的分析 （ 1）使用用戶名 (賬號 )作為口令 （ 2）使用用戶名 (賬名 )的變換形式作為口令 （ 3）使

28、用自己或者親友的生日作為口令 （ 4）使用學號、身份證號、單位內的員工號碼等作為口令 （ 5）使用常用的英文單詞作為口令 4.2 身份認證技術 1.一次性口令 （ 1） 一次性口令的特點 概念簡單，易于使用 基于一個被記憶的密碼，不需要任何附加的硬件 算法安全 不需要存儲諸如密鑰、口令等敏感信息 2.一次性口令的原理 假設一次性口令序列共有 n個元素 ， 即有一個可使用 n次的一次 性口令序列 。 它的第一個口令是使用單向函數 n次 ， 第二個口令使 用單向函數 n1次 ， 依次類推 。 如 n 4， 則第

29、一個口令為 p(1) f(f(f(f(s))))， 第二個口令為 p(2) f(f(f(f)))， 這樣 ， 即使竊 聽者監(jiān)聽到第 i個口令 (Pi)， 卻不能生成第 i+1個 ， 因為這就需要求 得單向函數的反函數 ， 而不知道單向函數循環(huán)起始點使用的密鍵 ， 這一點是不可實現(xiàn)的 。 而循環(huán)起始點使用的密鍵只有用戶自己知道 ， 這就是一次性口令的安全原理 。 4.2 身份認證技術 1.一次性口令協(xié)議 (1)用戶輸入登錄名和相關身份信息 ID。 (2)如果系統(tǒng)接受用戶的訪問，則給用戶傳送一次性口令建立所使用的單向 函數 f及一次性密碼 k，這種傳送通常采用加密方式。在電子

30、商務系統(tǒng)中， 可根據用戶交費的多少和實際需要，給出允許用戶訪問系統(tǒng)的次數 n。 (3)用戶選擇“種子”密鑰 x，并計算第一次訪問系統(tǒng)的口令 z=fn(x)。向第 一次正是訪問系統(tǒng)所傳送的數據為 (k， z)。 (4)系統(tǒng)核對 k，若正確，則將 (ID， fn(x))保存。 (5)當用戶第二次訪問系統(tǒng)時，將 (ID,fn-1(x))送系統(tǒng)。系統(tǒng)計算 f(fn-1(x)),將 其與存儲的數據對照，如果一致，則接受用戶的訪問，并將 (ID， fn-1(x)) 保存。 (6)當用戶第三次訪問系統(tǒng)時，將 (ID,fn-2(x)))送系統(tǒng)。系統(tǒng)計算 f(fn-2(x)),將 其與存儲的數據

31、對照，如果一致，則接受用戶的訪問，并保存新計算的數 據。 (7)當用戶每一次想要登錄時，函數相乘的次數只需 1 4.2 身份認證技術 個人特征識別法 1.機器識別 2.系統(tǒng)誤差 簽名識別法 1.記錄書寫過程的技術 2.簽名識別法的使用 指紋識別技術 1.指紋識別技術簡介 2.指紋取像的幾種技術和特點 3.指紋識別系統(tǒng)中的軟件和固件 4.指紋識別技術的優(yōu)缺點 5.指紋識別技術的應用系統(tǒng) 4.2 身份認證技術 語音識別系統(tǒng) 1.機器識別 2.系統(tǒng)

32、誤差 視網膜圖像識別系統(tǒng) 1.記錄書寫過程的技術 2.簽名識別法的使用 識別過程 1.引入階段 2.識別階段 3.折衷方案 身份識別系統(tǒng)的選擇 1.對假冒的識別力； 2.偽造贗品的簡易度； 3.對欺騙的敏感性； 4.獲得識別的時間； 5.用戶的方便性； 6性能價格比； 7.設備提供的接口； 8.調整用的時間和潛力； 9.支持識別過程所需計算機系統(tǒng)的處理； 10.可靠性和可維護性； 11.保護設備的代價； 12.配電與后勤支持的代價 4.2 身份認證技術 4.2.3 身份認證的協(xié)議

33、 一個安全的身份識別協(xié)議至少應滿足以下兩個條件： 識別者 A 能向驗證者 B證明他的確是 A； 在識別者 A向驗證者 B證明他的身份 后 ， 驗證者 B不能獲得 A的任何有用信息 ， B不能模仿 A向第三方證明 他是 A。 一次一密機制 1. 采用請求應答方式 (Challenge Response) 第一種方法是用戶登錄時系統(tǒng)隨機提示一條信息，用戶根據 這一信息連同其個人化數據共同產生一個口令字，用戶輸入這個口 令字，完成一次登錄過程，或者用戶對這一條信息實施數字簽名發(fā) 送給驗證者 AS進行鑒別； 第二種方法采用時鐘同步機制，即根據這個同步時鐘

34、信息連 同其個人化數據共同產生一個口令字。這兩種方案均需要驗證者 AS也產生與用戶端相同的口令字 (或檢驗用戶簽名 )用于驗證用戶身 份。 4.2 身份認證技術 2.詢問 應答式協(xié)議 驗證者提出問題 (通常是隨機選擇一些隨機數 ， 稱作口令 )， 由識別 者回答 ， 然后驗證者驗證其真實性 。 目前已經設計出了許多詢問 應 答式協(xié)議 ， 比如 Schnorr身份識別協(xié)議 、 Okanmto身份識別協(xié)議 、 Guillou Quisquater身份識別協(xié)議和基于身份的識別協(xié)議等 。 基于請求應答方式的著名的 Schnorr身份認證機制 。 環(huán)境參數

35、：設 p、 q都是大素數，且 q|p-1(q為 p-1的因子 )， a的模 p的階為 q(即 aq1(mod p))。 h為一輸出為 t的單向函數。用戶 U秘密選 擇一個數 s(0

36、d p)。 4.2 身份認證技術 X.509認證協(xié)議 X 509對每個用戶選擇的公鑰提供所謂的“證書”。用戶的證書 是由可信的證書機構 (CA)產生，并存放于 X 500目錄之中。 版本 (V)：用來區(qū)分 X 509不同年份的版本； 特定編號 (SN)：由 CA給予每一個證書的一個特殊號碼； 識別方法 (AI)：用于產生證書所用的方法以及一切參數； 頒布者 (CA)： CA的識別名字； 有效期 (TA)：包括兩個日期，在所指定的兩個時間之間有效； 使用者 (A)：證書擁有者的識別名字； 公鑰信息 (TP)：被證明的公鑰值，加上使用這把公鑰的方法的名稱； 數字簽名：

37、對這份格式中所有其他信息先用雜湊函數產生雜湊值，再用 CA的 密鑰簽署雜湊值。 版 本 特 定 編 號 識 參 頒 截 使 方 參 公 別 數 布 止 用 法 數 鑰 方 者 時 者 信 法 間 息 數 字 簽 名 4.2 身份認證技術 Kerberos認證協(xié)議 Kerberos協(xié)議是以認證服務器、 Ticket散發(fā)服務器、客戶機及應 用服務器的服務等四方模型為基礎，并假設服務器都是在安全的 環(huán)境下進行。 Kerberos認證過程大致如下： 1.客戶向認證服務器發(fā)送請求，需要某應用服

38、務器服務的證書； 認證服務器響應請求，發(fā)給用客戶的密鑰加密的證書。證書包括服 務器的票 (Ticket)和會話密鑰 (暫時用于加密的 )。 2.如果客戶得到的 Ticket是 Ticket散發(fā)服務器的，客戶機必須再 向 Ticket散發(fā)服務器換取應用服務器的 Ticket；客戶機將應用服務 器的 Ticket(由客戶的標識、會話密鑰的拷貝等組成，并經過應用服 務器的密鑰加密 )送往應用服務器。 3.應用服務器和客戶機擁有了同一個會話密鑰，可以用于它們 之間的認證和加密了。 4.2 身份認證技術 Kerberos認證過程 4.2 身份認證技術 零知識身份識別

39、 證明者 P掌握某些秘密信息， P想設法讓認證方 V相信他確實 掌握那些信息，但又不想讓 V也知道那些信息 (如果連 V都不知道那 些秘密信息，第三者想盜取那些信息當然就更難了 )。 被認證方 P掌握的秘密信息可以是某些長期沒有解決的猜想問 題的證明 (如費爾瑪最后定理、圖的三色問題 )，也可以是缺乏有效 算法的難題解法 (如大數因式分解等 )。信息的本質是可以驗證的， 即可通過具體的步驟來檢測它的正確性。 4.2 身份認證技術 設 I(P)為被認證方 P的身份信息，要求 P可以不透露 I(P)的一個比特使 認證方確信 P卻是掌握 I(P)。協(xié)議假定存在一個

40、可信賴的機構，它的職責在 于公布模數 n， n等于兩個大素數 p和 q之積， p和 q都是 mod 4 與 3同余。 I(P)必須包含 P的許多信息。 假定 I(P)包含有 P的秘密身份的 k個數 c1,c2,,ck,1ci p,i=1,2, ， k；還有他的公開身份 PI(P)的另外 k個數 d1,d2, ， dk, 1di p,i=1,2, ， k，而且滿足 djcj2 1 mod n (j=1,2, ， k).認證 方 V知道 n和 PI(P)。 P為了使 V相信他掌握 I(P),下面 4個步驟算是一輪。通過 輪數越多， P做假的概率越小。 1.P選一隨機數 r，

41、計算 r2 mod n， P取其中一個告訴 V，稱之為 x； 2.V從 1， 2， ， k中選一子集 S告訴 P； 3.P告訴 V， y rTc mod n，其 中，對所有的 j S有 Tc cj； 4.V驗證 X y2Td mod n ？其中，對所有 的 j S有 Td dj； 若等號成立，開始新的一輪驗證或停止，否則予以拒絕。因為 djcj2 1 mod n， j 1， 2， ， k，所以 ,y2Tdr2Tc2Td r2， cj2dj r2 x mod n.隨機數 r是必要的，否則 V選 S j,從而找到 cj，對 cj要求（ cj， n） 1， j 1， 2， ， k，否則 n可能被因數分解。 思考題 什么是數字簽名？其有何特點和功能？ 如何區(qū)別數字簽名與手寫簽名。 簡述數字簽名的使用模式和使用原理。 試述 RSA數字簽名體制。 有哪些特殊數字簽名體制？ 什么是身份認證？有哪些主要方法和協(xié)議？ LOGO